收藏
下载资源 加入VIP免费专享

安全仪表系统设计与SIL的计算方法.docx

上传人:小飞机 文档编号:5173555 上传时间:2023-06-10 格式:DOCX 页数:34 大小:628.75KB
返回 下载 相关 举报
安全仪表系统设计与SIL的计算方法.docx_第1页
第1页 / 共34页
安全仪表系统设计与SIL的计算方法.docx_第2页
第2页 / 共34页
安全仪表系统设计与SIL的计算方法.docx_第3页
第3页 / 共34页
安全仪表系统设计与SIL的计算方法.docx_第4页
第4页 / 共34页
安全仪表系统设计与SIL的计算方法.docx_第5页
第5页 / 共34页
亲,该文档总共34页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《安全仪表系统设计与SIL的计算方法.docx》由会员分享,可在线阅读,更多相关《安全仪表系统设计与SIL的计算方法.docx(34页珍藏版)》请在三一办公上搜索。

1、安全仪表系统设计与SIL的计算方法左信朱春丽中国石油大学(北京)自动化研究所2008年11月北京自控中心站培训第1章安全仪表系统设计概述错误!未定义书签。安全性与可用性错误!未定义书签。安全仪表系统的安全性错误!未定义书签。安全仪表系统的可用性错误!未定义书签。安全性与可用性之间的关系错误!未定义书签。安全仪表系统的设计目标错误!未定义书签。安全仪表系统的设计原则错误!未定义书签。基本原则错误!未定义书签。逻辑设计原则错误!未定义书签。回路配置原则错误!未定义书签。完整的安全仪表回路设计错误!未定义书签。安全仪表系统的设计步骤错误!未定义书签。第2章安全度等级SIL的计算方法错误!未定义书签。

2、系统结构介绍错误!未定义书签。1oo1结构错误!未定义书签。1oo2结构错误!未定义书签。2oo2结构错误!未定义书签。2oo3结构错误!未定义书签。1oo2D结构错误!未定义书签。SIL的可靠性框图计算方法错误!未定义书签。1oo1结构的可靠性框图错误!未定义书签。1oo2结构的可靠性框图错误!未定义书签。2oo2结构的可靠性框图错误!未定义书签。2oo3结构的可靠性框图错误!未定义书签。1oo2D结构的可靠性框图错误!未定义书签。术语列表错误!未定义书签。SIL的马尔可夫模型计算方法错误!未定义书签。1oo1结构的马尔可夫模型 错误!未定义书签。1oo2结构的马尔可夫模型错误!未定义书签。

3、2oo2结构的马尔可夫模型错误!未定义书签。2oo3结构的马尔可夫模型错误!未定义书签。1oo1D结构的马尔可夫模型 错误!未定义书签。1oo2D结构的马尔可夫模型错误!未定义书签。术语列表错误!未定义书签。SIL的故障树分析计算方法错误!未定义书签。1oo1结构的PFD故障树错误!未定义书签。1oo2结构的PFD故障树错误!未定义书签。2oo2结构的PFD故障树错误!未定义书签。2oo3结构的PFD故障树错误!未定义书签。2oo4结构的PFD故障树错误!未定义书签。1oo1D结构的PFD故障树错误!未定义书签。1oo2D结构的PFD故障树错误!未定义书签。2oo2D结构的PFD故障树错误!未

4、定义书签。2oo4D结构的PFD故障树错误!未定义书签。术语列表错误!未定义书签。第3章计算实例错误!未定义书签。第1章安全仪表系统设计概述安全性与可用性1.1.1安全仪表系统的安全性安全仪表系统的安全性是指任何潜在危险发生时,安全仪表系统保证使过程 处于安全状态的能力。不同安全仪表系统的安全性是不一样的,安全仪表系统自 身的故障无法使过程处于安全状态的概率越低,则其安全性越高。安全仪表系统 自身的故障有两种类型。(1)安全故障当此类故障发生时,不管过程有无危险,系统均使过程处于安全状态。此 类故障称为安全故障。对于按故障安全原则(正常时励磁、闭合)设计的系统而 言,回路上的任何断路故障是安全

5、故障。(2)危险故障当此类故障存在时,系统即丧失使过程处于安全状态的能力。此类故障称 为危险故障。对于按故障安全原则设计的系统而言,回路上任何可断开触点的短 路故障均是危险故障。换言之,一个系统内发生危险故障的概率越低,则其安全性越高。1.1.2安全仪表系统的可用性安全仪表系统的可用性是指系统在冗余配置的条件下,当某一个系统发生故 障时,冗余系统在保证安全功能的条件下,仍能保证生产过程不中断的能力。与可用性比较接近的一个概念是系统的容错能力。一个系统具有高可用性或 高容错能力不能以降低安全性作为代价,丧失安全性的可用性是没有意义的。严 格地讲,可用性应满足以下几个条件。(1)系统是冗余的;(2

6、)系统产生故障时, 不丧失其预先定义的功能;(3)系统产生故障时,不影响正常的工艺过程。1.1.3安全性与可用性之间的关系从某种意义上说,安全性与可用性是矛盾的两个方面。某些措施会提高安全 性,但会导致可用性的下降,反之亦然。例如,冗余系统采用二取二逻辑,则可 用性提高,安全性下降;若采用二取一逻辑,则相反。采用故障安全原则设计的 系统安全性高,采用非故障安全原则设计的系统可用性好。安全性与可用性是衡量一个安全仪表系统的重要指标,无论是安全性低、还 是可用性低,都会使损失的概率提高。因此,在设计安全仪表系统时,要兼顾安 全性和可用性。安全性是前提,可用性必须服从安全性;可用性是基础,没有高 可

7、用性的安全性是不现实的。安全仪表系统的设计目标安全仪表系统设计的目标,首先是要满足装置的安全度等级要求,衡量标准 在于它能否达到要求平均故障概率PFDaverage,即要求下的设备失效的可能性。 为了达到装置的安全度等级,系统必须具有高的安全性。但是,系统的安全性越 高,必然使设备停车次数越多,维修时间延长,降低了系统的可用性。而在石化 等行业的现实应用当中,设备停车可能造成重大的经济损失,这就要求系统既具 有高安全性,又具有高可用性。安全仪表系统的设计并不是安全性越高越好,要 寻求的是一种最优配置,即在达到安全度等级的前提下,合理配置经济实用的系 统。因此,在设计安全仪表系统时,首先要进行风

8、险分析,确定必要的风险降低 指标;然后确定SIL等级并进行风险分配,以确定安全仪表系统应承担的风险降 低指标;最后,综合考虑系统的安全性与可用性,对系统的结构进行合理配置。安全仪表系统的设计原则1.3.1基本原则SIL设计的基本原则之一,是应根据E/E/PES安全要求规范进行设计。分析确定SIL的方法,确定的SIL就是E/E/PES设计时要求实现的安全完整性目标。SIL设计的基本原则之二,是采取一切必要的技术与措施保证要求的安全完 整性。为了实现安全完整性,必须同时满足E/E/PES的随机安全完整性要求与系 统安全完整性要求,因为随机失效主要是硬件的随机失效。因此,分析时,随机 安全完整性就简

9、化为硬件安全完整性。故障检测会影响系统的行为,因此,它与 硬件以及系统的安全完整性都相关。1.3.2逻辑设计原则 可靠性原则整个系统的可靠性R0 ( t)是由组成系统的各单元可靠性(R1 ( t) , R2 (t) , R3 ( t) K )的乘积,即R0 ( t) = R1 ( t) R2 ( t) R3 ( t) K任何一个环节可靠性的下降都会导致整个系统可靠性的下降。人们通常对于 逻辑控制系统的可靠性十分重视,往往忽视检测元件和执行元件的可靠性,使得 整套安全仪表系统可靠性低,达不到降低受控设备风险的要求。可靠性决定系统 的安全性。 可用性原则可用性不影响系统的安全性,但系统的可用性低可

10、能会导致装置或工厂无法 进行正常的生产。可用性常用下面公式表示。A = M TB F/ ( M TB F + M T TR)式中 A可用度;MTBF平均故障间隔时间;MTTR平均修复时间。而对于安全仪表系统对工艺过程的认知过程,还应当重视系统的可用性,正 确地判断过程事故,尽量减少装置的非正常停工,减少开、停工造成的经济损失。 故障安全原则当安全仪表系统的元件、设备、环节或能源发生故障或失效时,系统设计应 当使工艺过程能够趋向安全运行或安全状态。这就是系统设计的故障安全型原 则。能否实现“故障安全”取决于工艺过程及安全仪表系统的设置。 过程适应原则安全仪表系统的设置必须根据工艺过程的运行规律,

11、为工艺过程在正常运行 和非正常运行时服务。正常时安全仪表系统不能影响过程运行,在工艺过程发生 危险情况时安全仪表系统要发挥作用,保证工艺装置的安全。这就是系统设计的 过程适应原则。1.3.3回路配置原则为保证系统的安全性和可靠性,以下2个原则在回路配置时应当加以注意。 独立设置原则用于SIS和BPCS(基本过程控制系统)的信号检测应各自采用检测元件。在 SIL3级时,BPCS的控制阀不能用作SIS仅有的最终元件;在SIL1级与2级时可 以使用,但要做安全性检查。 中间环节最少原则一个回路中仪表越多可靠性越差,典型情况是本安回路的应用。在石化装置 中,防爆区域在0区的情况很少。因此可尽量采用隔爆

12、型仪表,减少由于安全栅 而产生的故障源,减少误停车。完整的安全仪表回路设计在系统设计选型时,很容易只要求控制器部分的安全性,忽略了现场仪表的 安全要求,实际上安全仪表系统包括了传感单元、逻辑控制单元和最终执行单元, 其故障失效率的计算方法如下:PFDsys = PFDS + PFDl + PFDfe式中:PFD E/E/PE安全相关系统的安全功能在要求时的平均失效概率 SYSpfds 传感器子系统要求的平均失效概率pfdl 逻辑子系统要求的平均失效概率pfdfe 最终元件子系统要求的平均失效概率传感器子系统(传感器及输入接口)逻辑子系统最终元件子系统(输出接口及最终元件)安全仪表系统的设计步骤

13、按照安全生命周期的内容,一套完整的SIS的设计主要包含以下步骤:(1)过程系统初步设计,包括系统定义、系统描述和总体目标确认。(2)执行过程系统危险分析和风险评价。(3)论证采用非安全控制保护方案能否防止识别出的危险或降低风险。(4)判断是否需要设计安全控制系统SIS,如果需要则转第(5)步,否则按常规控制系统设计。(5)依据IEC61508确定对象的安全度等级SIL。(6)确定安全要求技术规范SRS。(7)完成SIS初步设计并检验是否符合SRS。(8)完成SIS详细设计。(9)SIS组装、授权、预开车及可行性试验。(10)在建立操作和维护规程的基础上,完成预开车安全评价。(11)SIS正式投

14、用,操作、维护及定期进行功能测试。(12)当原工艺流程被改造或在生产实践中发现安全控制系统不完善时,判断安 全控制系统是否停用或改进。(13)如果需要改进,则转至第(2)步进入新的过程安全生命周期设计。完整的SIS设计的步骤第2章安全度等级SIL的计算方法SIS系统设计完成之后,其可靠性和安全性的评价标准就是要求时失效概率PFD。其SIL等级应该通过计算PFDavg来确定。系统结构介绍2.1.1 1oo1 结构这种结构包括一个单通道。在这种结构中当产生一次要求时,任何危险失效 就会导致一个安全功能失效。1oo1物理结构图2.1.2 1oo2 结构此结构由两个并联的通道组成,无论哪一个通道都能处

15、理安全功能。因此如 果两个通道都存在危险失效,则在要求时某个安全功能失效。假设任何诊断测试 仅报告发现故障,但并不改变任何输出状态或输出表决。1oo2物理结构图2.1.3 2oo2 结构此结构由并联的两个通道构成,因此,在发生安全功能之前两个通道都要求 功能。假设任何诊断测试仅报告发现故障,并不改变任何输出状态或输出表决。2oo2物理结构图2.1.4 2oo3 结构此结构由3个并联通道构成,其输出信号具有多数表决安排,这样,如果仅 其中一个通道的输出与其他两个通道的输出状态不同时,输出状态不会因此而改 变。假设任何诊断测试只报告发现故障,不改变任何输出状态或者输出表决。2.1.5 1oo2D

16、结构此结构中由并联的两个通道构成,正常工作期间,在发生安全功能前,两个 通道都要求安全功能。此外,如果任一通道中诊断测试检测到一个故障,则将采 用输出表决,因此整个输出状态则按照另一通道给出的输出状态。如果诊断测试 在两个通道中同时检测到故障,或者检测到两个通道间存在的差异时,输出则转 为安全状态。为了检测两个通道间的差异,通过一种与另一通道无关的方法,无 论其中哪个通道都能确定另一通道的状态。1oo2D物理结构图SIS系统设计完成之后,其可靠性和安全性的评价标准就是要求时失效概率 PFD。其SIL等级应该通过计算PFDavg来确定。SIL的可靠性框图计算方法2.2.1 1oo1结构的可靠性框

17、图1oo1可靠性框图通道的等效平均停止工作时间表示如下:tCE入DU入D入-ddMTTR入D已被检测和未被检测到的危险失效率如下:人=一G DC) ,卜=一 DCDU 2DD 2此结构在要求时的平均失效概率为:PFDg =(du +XDD ) tcE2.2.2 1oo2结构的可靠性框图1oo2可靠性框图系统等效停止工作时间表示如下:t =yGE XD(T+ MTTR +-du MTTR3(T、+ MTTRU)此结构在要求时的平均失效概率为:PFD = 2(1 -成(G3 +G-p 力 +A t +p X MTTR + GDUDUD DD SD CE GE D DDDU 1 22.2.3 2oo

18、2结构的可靠性框图2oo2可靠性框图此结构在要求时的平均失效概率为:PFDg = 2X DtCE2.2.4 2oo3结构的可靠性框图2oo3可靠性框图此结构在要求时的平均失效概率为:PFD = 6(G-P 沐 +G-pb t t +P X MTTR + PX (T /2 + MTTR)GD DDDU CE GE D DDDU 12.2.5 1oo2D结构的可靠性框图每个通道中被检测的安全失效率如下:Xsd = X / 2DCt= (%/(T/2 + MTTR)+(X+X)MTTR/(X+X+X)CEDU1DDSDDUDDSDt=(X/(T/3 + MTTR)+(X+X)MTTR/(X+X+X)

19、GEDU1DDSDDUDDSD此结构在要求时的平均失效概率为:PFD = 2(1 0+(G 0+(1 -P3 +人)tt+P人 MTTR + 阳(T/2 + MTTR)GDUDUD DD SD CE GE D DDDU 12.2.6术语列表缩略语及符号术语(单位)T1检验测试时间间隔(h)T2要求之间的时间间隔MTTR平均恢复时间(h)DC诊断覆盖率(在公式中以一个分数或者百分比表示)0具有共同原因的、没有被检测到的失效分数(在公式中用一个分数或者百分比表示)0 D具有共同原因的、已被诊断测试检测到的失效分数(在公式中用一个 分数或者百分比表示)(假设0 =2 x0d)力子系统中一个通道的失效

20、率(每小时)力D子系统中通道的危险失效率(每小时),等于人(假设50%的危险失效和50%的安全失效)力DD检测到的子系统中通道每小时的危险失效率(它是在子系统通道中所有检测到的危险失效率的总和)力DU未检测到的子系统中通道每小时的危险失效率(它是在子系统通道中 所有未检测到的危险失效率的总和)力SD子系统中被检测到的通道每小时的安全失效率(它是在子系统通道中所有检测到的安全失效率的总和)tCE1oo1、1oo2、2oo2、1oo2D、2oo3结构中通道的等效平均停止工作时间(h)(它是子系统通道中所有部件的组合关闭时间)t GE1oo2、2oo3结构中表决组的等效平均停止工作时间(h)(它是表

21、决组 中所有部件的组合关闭时间)tCE1oo2D结构中通道的等效平均停止工作时间(h)(它是子系统通道中所有部件的组合关闭时间)tGE1oo2D结构中表决组的等效平均停止工作时间(h)(它是表决组中所 有部件的组合关闭时间)PFDG表决通道组在要求时的平均失效概率(如果传感器、逻辑或最终元件 子系统仅由一个表决组构成,则pfdg分别等于pfd s、pfdl或 PFDFE)SIL的马尔可夫模型计算方法2.3.1 1oo1结构的马尔可夫模型在1oo1的马尔可夫模型中,状态0表示没有失效。从这个状态,控制器可 达其他3个状态,状态1表示安全失效状态,控制器发生失效,其输出非使能(失 电或开路)。状态

22、2表示检测到的危险失效状态,输出使能而发生失效,但是失 效被自诊断检测出可立即进行修复。状态3表示发生了危险失效,但失效没能被自诊断发现。1oo1结构马尔可夫模型1 一 Gs + 人D )X,SD + XSUAddAdu旦1 一 |L100SDSD日01 一 |L100000011OO1结构的状态转移矩阵P为P =计算MTTFS的马尔可夫状态转移图如下图所示.1oo1结构马尔可夫模型MTTFS相应的Q矩阵为Q= 1 - Gsd + 人su )因为N=I-Q-1,故人SD +人SU因为MTTFS是给定起始状态矩阵N行元素的和,故MTTFS =1人 SU + Asd2.3.2 1oo2结构的马尔可

23、夫模型系统存在3个能够执行安全功能的状态。在状态0。两个通道都正常运行。在状态1和2, 一个通道发生危险使得输出短路(使能)。系统能够继续正常运 行是因为另一个通道仍然能够使输出开路(非使能)。因为状态1的危险失效被 检测到,所以能够进行在线修复,状态1会以修复率ro返回到状态0。状态3, 4,和5是系统的失效状态。在状态3,系统发生安全失效。在状态4,系统发生 检测到的危险失效。在状态5,系统发生未检测到的危险失效。共因失效会导致 系统由状态0直接到达状态4或状态5。假设维修过程会检查并修复系统的所有失效,状态4通过维修会回到状态0。 否则,状态4必须拆分为两个状态:一个是两个通道都发生检测

24、到的危险失效, 另一个是一个通道发生检测到的危险失效、一个通道发生未检测到的危险失效。 前者通过维修回到状态0,后者通过维修回到状态2。1oo2结构的状态转移矩阵P为性2Xdun0Xsc + 2Xsn XsXddc XdXduc001-zXsXddXdu001 |LX00SD0001 |LX00000 01PSDP(f1-Z七0表示矩阵元素所在行除该元素外其他元素之和。相应的Q矩阵为Q=1 -Z-A1 日+人D人D2 人 DDN1-Z-A02 人 DUN01-E-A3其中 A = Xsdc + Xsuc + 2Xsdn + 2XsunA = A = XsXsDC + XsUC + 2 入 SD

25、N + 2 入 SUN1oo2结构马尔可夫模型MTTFS2oo2结构的马尔可夫模型在状态0、1和2系统能够成功运行。状态3,系统发色和能够了安全失效, 输出开路。状态4和5,系统发生检测到和未检测到的危险失效。这个马尔可夫 模型与1oo2结构的马尔可夫模型比较可以看出在安全与危险失效上两者具有部 分对称性。2oo2结构的状态转移矩阵P为2%SDN2AsunAscAddc + 2AddnAduc + 2AdunPi L0AsAd0O00iLAsAddAduP001 |LX00SDSDP0001 |LX00000O1P =其中Z表示矩阵元素所在行除该元素外其他元素之和。相应的Q矩阵为1 L A2A

26、sdn2AsunQ=日+ Ad1 L A0o_ Ad201 L A3其中气=屁.A = A = AsXSDC + XSUC2oo2结构马尔可夫模型MTTFS2.3.4 2oo3结构的马尔可夫模型系统初始状态时全部3个通道的运行状态均为正常状态。3个通道的4种 模式的失效会导致系统离开初始状态。另外,共因失效也需要考虑。对于两个通 道存在3种组合方式:AB、AC和BC,表示3组共因失效。在状态1,一个通道 出现检测到的安全失效。在状态2, 一个通道出现未检测到的安全失效。在状态 1和状态2,系统降级为1oo2结构。在状态3,表明一个通道出现检测到的危险 失效。在状态4, 一个通道出现未检测到的危

27、险失效。在状态3和状态4,系统 降级为2oo2结构。在1、2、3、4各状态,系统尚未失效。在状态1和2系统仍处于运行状态,正常通道再次出现安全失效将使系统安 全失效,而正常通道出现危险失效将使系统又降一级。在状态3和4,系统运行 在2oo2配置。当出现正常通道的危险失效,系统将会危险失效,而正常通道出 现安全失效也将使系统又降一级。假设系统修理时所有的故障单元会被修复,因 此,所有的修复将使系统回到状态0。Xsc + 2知SDNDUNSUNDUNSUNDDN入D2oo3结构马尔可夫模型2oo2结构的状态转移矩阵P为1Z3 入 SDN3 入 SUN3 入 DDN3 入 DUN日1 -200000

28、01-200日001-20000001 -200000日00000日0000000000日0000SD日0000000000P00002 入 DDN2 入 DUN00002 入 DDN2 入 DUN2 入 SDN02 入 SUN002 入 SDN02 入 SUN1 -201 - 22 入 SDN000001 -200001 -20000000000003入sc3Xddc3Xduc入SC + 2入SNXddcXduc入SC + 2入SNXddcXduc入SCXdc + 2X dn0入SCXddc + 2XddnXduc + 2XdunXsXd0XsXddXduXsXd0XddXdu1 -2000

29、1 -20001其中Z表示矩阵元素所在行除该元素外其他元素之和。2.3.5 1oo1D结构的马尔可夫模型状态0代表无效的情况。从状态0系统可以到达其他两个状态。状态1 代表安全失效,状态2代表未检测到的危险失效1oo1D的马尔可夫模型与1oo1 相似,不同的是检测到的危险失效将使系统出现安全失效,造成受控过程的误停 车。1oo1D结构马尔可夫模型 1oo1D结构的状态转移矩阵P为1 一 Gs +人D ) 人SD + 人SU + 人DD 人DUP = 日1f0SDSD001求解1oo1D结构系统的MTTFS与1oo1的相似,这是因为1oo1D体系结构仅 仅将检测到的危险失效转换为安全失效,它本身

30、并没有容错能力,即MTTFS = 1 XS + 人 DD2.3.6 1oo2D结构的马尔可夫模型1oo2D结构的马尔可夫模型共有4个系统成功运行的状态。状态1代表发 生了一个检测到的安全失效或检测到的危险失效。当一个危险失效被检测出时, 诊断开关断开,输出非使能,因此,两种失效的结果是相同的。另一个系统成功 状态2代表某一控制器出现了未检测到的危险失效。系统仍然继续正常运行是因 为另一个单元仍能够检测到该失效,使得系统停车。在第三个降级的系统成功状 态3,系统某一单元出现未检测到的安全失效后,系统输出仍可由另一正常单元 控制。在状态1,系统降级到1oo1D结构。后续的安全失效或检测到的危险失效

31、 会导致系统发生安全失效;后续的未检测到的危险失效将使系统发生危险失效。 系统在失效状态5时,一个单元发生检测到的失效,另一个单元发生未检测到的 失效。在检测到的失效发出维修请求后,所有的单元都要进行检验测试,因此从 状态5到状态0存在一个维修的状态转移。在状态2, 一个单元发生在未检测到的危险失效。由于系统仍能正确响应 过程危险,因此仍能正常运行。在这个状态下,任何部件的失效都会导致系统发 生危险失效。例如,一个单元发生未检测到的危险失效,另一个单元发生了检测 到的安全失效。这时第二个单元因为故障也不能对第一个单元的开关进行控制, 所以系统被认为发生危险失效,不会响应过程请求。如果第二个单元

32、发生检测到 的安全失效,则系统转到状态5。在状态3, 一个单元发生未检测到的安全失效,系统降级到1oo1D结构。 后续的检测到的安全失效或危险失效都将使系统发生安全失效。而后续的未检测 到的危险失效则会使系统发生危险故障一使系统转到状态6,也就是说两个单元 出现未检测到的失效。处于该状态的失效只有在进行周期性功能测试时才会被发 现。XSDN + XSUC + XDDC入DU2XdunXSD + XdH2XsunXducXdu四O四SDOKSystem FDU 6System FS 4SystemFDDDegraded-1 Fail undetectedDangerous2Degraded-1

33、Fail Detected 1Degraded-1 Fail undetected Safe+ 2%Xs + Xdd1oo2D结构马尔可夫模型1oo2D结构的状态转移矩阵P为1-Z2Xsdn + 2Xddn2Xdun2XsunXsc + Xddc0XducH1 -Z00Xs + XddXdu0。01-Z00Xsd + XddXsu + XduP=0001-ZXs + Xdd0XduH0001 -Z00SDH c00001 -Z0O0000001其中Z表示矩阵元素所在行除该元素外其他元素之和。2.3.7术语列表缩略语及符号术语(单位)TI检验测试时间间隔(h)TSD系统启动时间(h)PSD系统启

34、动率PSD =1/ Tsd(h-1)MTTR平均恢复时间(h)RO维修率 P o =1/ MTTR(h-1)CTI功能测试覆盖率,取值01P具有共同原因的、没有被检测到的失效分数(在公式中用一个分 数或者百分比表示)PD具有共同原因的、已被诊断测试检测到的失效分数(在公式中用一个分数或者百分比表示)(假设P - 2 xp D)人D危险失效率(h-1)人S安全失效率(h-1)人DD检测到的危险失效率(h-1)人DU未检测到的危险失效率(h-1)XSD检测到的安全失效率(h-1)Xsu未检测到的安全失效率(h-1)人SDN正常检测出安全失效率(h-1)人SUN正常未检测出安全失效率(h-1)人DD

35、N正常检测出危险失效率(h-1)人DUN正常未检测出危险失效率(h-1)人SDC共因检测出安全失效率(h-1)人SUC共因未检测出安全失效率(h-1)人DDC共因检测出危险失效率(h-1)人DUC共因未检测出危险失效率(h-1)SIL的故障树分析计算方法2.4.1 1oo1结构的PFD故障树1oo1结构的PFD故障树PFD1 1 =Mdd *RT +、*TIPFD= odd* E * *T 如=,四 + 1*TIavgloolTIDD2 DU2.4.2 1oo2结构的PFD故障树1oo2结构的PFD故障树* RT + (kg * RT +、un * TI)2PFD1 2 二气火 * TI +

36、kDDCJTIIDUC *TI +、DC *RT + (、N *RT + DUN *TI)2dTIavg1oo2TI=1 人 * TI + 人 * RT + (人 * RT )2 + -(X * TI )2 +人 * RT * 人 * TI2 DUCDDCDDN3 DUNDDNDUN2.4.3 2oo2结构的PFD故障树2oo22oo2结构的PFD故障树PFD2 2 =、C * TI + %河 * RT + 2Xddn * RT + 2人。网 * TIJTI(XDUC * TI +、Dc * RT + 2Xddn * RT + 2Xdun * TI)dTIavg 2oo 2TI=2 *duc

37、* TI +、dc * RT + 2、成 * RT +、un * TI2.4.4 2oo3结构的PFD故障树2oo3结构的PFD故障树PFD2 3 =、uc * TI + *c * RT + 3(XDDN * RT +* TI)2J WDUC * TI + XDDC * RT + 3(XDDN * RT + XDUN * TI)2dTIavg 2oo 3TI=2 XDUC * TI + XDDC * RT + 3(Xddn * RT)2 + (XDUN * TI)2 + 3、揶 * RT * TI2oo4结构的PFD故障树PFD2 4 = y。* TI + *c * RT + 4(、n * R

38、T +、uN * TI)3J口、c I +*RT + 4。冷,*RT +、n *TI)3dTIavgloo 4TIJTI 入 *TI + 入 *RT +。*RT)3 +。*TI)3 + 3。* RT)2 *(入 *TI) + 3。* RT)*(入 *TI)2dTI= DUC DDC DDNDUNDDNDUNDDN DUNTI=2 DUC * TI + DDC* RT + 40ddn * RT)3 +(、N * TI)33+ 2 (Xddn *RT)2*Xdun *TI + Xddn *RT *(Xdun *TI)22.4.6 1oo1D结构的PFD故障树1oo1 D结构的PFD故障树PFD1o

39、o1D=X DU * TIPFD =1竺=顼* TIavgloolDTI2 DU1oo2D结构的PFD故障树PFD 2d =* TI + 0dun * TI)2PFD =、叮1 * * *T质=1 x* TI 咨* TI)2avgloo2DTI2 DUC3 DUN2.4.8 2oo2D结构的PFD故障树2oo2D结构的PFD故障树PFD2 2D =、c * TI + 2人dun * TII TI (kDUC * TI + 2、睥 * TI)dTIavg 2 oo 2 DTI=2 ye * TI +、un * TID失效AD失效DUN2oo4D结构的PFD故障树PFD2 oo 4 D=、C *

40、TI + 40dun * TI)3PFD =叮1 + f *TI皿=项*TI 项*TI)3avg 2oo 4 DTI2 DUCDUN2.4.10术语列表缩略语及符号术语(单位)TI检验测试时间间隔(h)RT平均维修时间(h)P具有共同原因的、没有被检测到的失效分数(在 公式中用一个分数或者百分比表示)人D危险失效率(h-1)人S安全失效率(h-1)人DD检测到的危险失效率(h-1)人DU未检测到的危险失效率(h-1)Xsd检测到的安全失效率(h-1)Xsu未检测到的安全失效率(h-1)人sdn正常检测出安全失效率(h-1)人SUN正常未检测出安全失效率(h-1)人ddn正常检测出危险失效率(h

41、-1)人dun正常未检测出危险失效率(h-1)人sdc共因检测出安全失效率(h-1)人SUC共因未检测出安全失效率(h-1)人ddc共因检测出危险失效率(h-1)人duc共因未检测出危险失效率(h-1)第3章计算实例考虑需要一个SIL2系统的安全功能。假设对系统结构的初始评估是,针对 1组3个模拟压力传感器结构为表决2oo3。逻辑子系统配置为冗余1oo2D,用于 驱动一个停机阀和1个通风阀。为了达到安全功能,需要操作通风阀和停机阀。检验测试时间间隔为1年,MTTR为8h对于传感子系统PFDs = 2.3 x 10 -4对于逻辑子系统PFDl = 4.8 x 10 -6对于最终元件子系统PFDf

42、e = 4.4 x 10 -3 + 8.8 x 10 -3 = 1.3 x 10 -2因此,对于安全仪表系统PFDsys = 2.3X10-4 + 4.8 X10-6 +1.3x 10-2 = 1.3 x 10-2 三安全度等级 1为了改进系统使其更好地适应安全度等级2,需要以下改进工作:a)将检验测试的时间间隔改为6个月:PFDs = 1.1 X10 -4PFDl = 2.6 X10 -6PFDfe = 2.2 x 10 -3 + 4.4 x 10 -3 = 6.6 x 10 -2PFDsys = 6.7 x 10-3三安全度等级2b)1oo1停机阀(其输出设备的可靠性较低)改为1oo2 (假设p值为10%,p D值 为5%)PFDs = 2.3 x 10 -4PFDl = 4.8 x 10 -6PFDfe = 4.4 x 10 -3 + 9.7 x 10 -4 = 5.4 x 10 -3PFDsys = 5.6x 10-3三安全度等级2

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号